Wireshark のキャプチャファイル処理に起因する任意コード実行の脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.08.19(日)

Wireshark のキャプチャファイル処理に起因する任意コード実行の脆弱性(Scan Tech Report)

脆弱性と脅威 エクスプロイト

1.概要
Wireshark には、キャプチャファイルを処理する際に Lua スクリプトファイルのパス検索を適切に行わない脆弱性が報告されました。
リモートの第三者に悪用された場合、システム上で不正な操作が実行される可能性があります。
脆弱性を悪用された場合の影響度が高いため、対象のユーザは可能な限り以下の対策を実施することを推奨します。


2.深刻度(CVSS)
6.9
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2011-3360&vector=%28AV%3AL/AC%3AM/Au%3AN/C%3AC/I%3AC/A%3AC%29


3.影響を受けるソフトウェア
Wireshark 1.4.0 - 1.4.8
Wireshark 1.6.0 - 1.6.1

※影響を受けるバージョンの Wireshark が含まれる、Linux ディストリビューションにおいても、この脆弱性の影響を受ける可能性があります。


4.解説
Wireshark には、キャプチャファイルである CAP または PCAP ファイルを処理する際に console.lua ファイルを適切な順序でパス検索を行わない不備が存在します。
このため、Wireshark のインストール時に含まれる正規の console.lua ファイルが検索される前に、キャプチャファイルと同じディレクトリに存在する同名の不正な console.lua ファイルを読み込んでしまう脆弱性が存在します。

この脆弱性を利用することでリモートの攻撃者は、Wireshark の実行権限で任意のコード実行が可能となります。

この脆弱性は、Scan Tech Report Vol.398 で紹介した DLL ハイジャックの脆弱性に類似する問題となります。


5.対策
(Web非公開)

6.ソースコード
(Web非公開)

(執筆:株式会社ラック コンピュータセキュリティ研究所

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×